Nezavedou-li firmy adekvátní postupy nebo poruší povinnosti vyplývající z nařízení GDPR, hrozí jim vysoké sankce. Bez ohledu na velikost mohou dostat pokutu 4 % z obratu až do výše 20 milionů eur (půl miliardy korun).
Podle britského serveru HR Review je ve firmách vzhledem k rozsahu GDPR třeba provést posouzení vlivu zpracovávání dat ve firmě na ochranu osobních údajů a vytvořit plán projektu, na němž budou spolupracovat zástupci jednotlivých oddělení (především IT, HR, finance, obchod a marketing) s cílem postihnout veškeré aspekty zpracování osobních údajů ve firmě.
Z hlediska HR a osobních údajů zaměstnanců budou v rámci tohoto projektu nejdůležitější následující body.
1. Souhlas zaměstnanců se zpracováním osobních údajů
Pracovní smlouvy bude třeba upravit tak, aby nezahrnovaly jen pasivní souhlas, ale specifický popis udělení souhlasu se zpracováním osobních údajů. V případech, které se nebudou týkat jen zaměstnání jako takového, může být navíc vyžadován informovaný a aktivní souhlas.
2. Úprava souvisejících procesů a politik
Bude třeba provést revizi nejen firemní politiky ochrany údajů, ale i dalších souvisejících dokumentů a postupů, jako jsou například vnitřní postupy pro oznamování podezření z protiprávního jednání (whistleblowing), kodex chování, politika elektronické komunikace, IT politika nebo pravidla pro práci na dálku.
3. Školení zaměstnanců
GDPR vyžaduje vyškolení zaměstnanců v tom, jak se jich nová pravidla pro ochranu osobních údajů dotýkají v praxi. Úkolem HR proto bude zajistit komplexní vzdělávací program, který bude pravidelně aktualizován a bude neustále dostupný.
4. Oznamování případů porušení zabezpečení osobních údajů
U úniků dat lze předpokládat, že se budou v mnoha případech týkat údajů zaměstnanců. HR proto musí být součástí firemního plánu pro oznamování případů porušení pravidel GDPR. Každá firma bude povinna hlásit dozorovému úřadu bezpečnostní incidenty týkající se jí zpracovávaných osobních údajů do 72 hodin od doby, kdy k incidentu dojde.
5. Právo na přístup k osobním údajům
Podle nových pravidel budou firmy mít povinnost vyřizovat žádosti zaměstnanců o informace o tom, jaké jejich osobní údaje firma eviduje, kdo a jak s nimi nakládá. Lhůta pro vypracování písemného shrnutí s těmito informacemi, je 1 měsíc.
-kk-